EY安永是指 Ernst & Young Global Limited 的全球組織,也可指其中一個或多個成員機構,各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保有限公司,並不向客戶提供服務。
概要
隨著人工智慧帶來的好處,例如提高生產力、降低營運成本和加快產品上市速度等,越來越多企業正在廣泛應用人工智慧。在新冠病毒疫情期間,人工智慧的採用率上升,某間全球決策情報公司在2021年對5,000多家企業進行一項全球調查結果顯示,43%的企業報告指出,由於新冠病毒疫情,他們的公司加速推出人工智慧。
其次,雲端服務加速人工智慧的採用。Tractica預測,到2025年,人工智慧在公有雲服務總收入中的占比將高達50%。該研究公司還預計,全球人工智慧市場收入將以每年57%的速度成長。另外,O'Reilly於2021年對全球3,000多名參與者進行調查顯示,人工智慧應用第二重要的產業是科技、金融和醫療保健行業。
企業在大規模應用人工智慧的同時,仍普遍存在若干憂慮,其中包括人工智慧的安全性和合規性。
人工智慧市場的成長並非一帆風順,意外事故頻繁發生,例如在不知情或未經同意的情況下獲取大約160萬個人的機密醫療紀錄而面臨訴訟、自動駕駛車禍等人身傷害事件、人工智慧聊天機器人被平臺上的不當發文破壞而在推出後不到24小時內開始發布攻擊性推文等事件。從這些案例中可以看到採用人工智慧帶來的資料隱私和安全隱患,以及人工智慧的漏洞,所以採用人工智慧有相對應的挑戰和風險。
隨著人工智慧技術的應用和發展,監理機關已經發布若干與人工智慧安全相關的監管要求或指南。同時,亦有不同監理機關正在起草和發布更多法規和標準。例如:
以上監管/指南共同提出的控制要求包括:
Gartner預計,到2026年,有實施人工智慧透明性、信任和安全性的組織將看到他們的人工智慧模型在採用、業務目標和用戶接受度方面達到50%的成果改進。Gartner調查結果顯示,組織已經部署許多IT領導者無法解釋的人工智慧模型,缺乏知識和理解可能會產生嚴重的後果,當依賴增加時,人工智慧模型表現不佳的影響會被放大。不管理人工智慧風險的組織更有可能遇到負面的人工智慧結果和違規行為。模型不會按預期運行,並且會出現安全和隱私問題、財務和聲譽損失以及對個人的傷害。錯誤執行人工智慧也可能導致組織做出糟糕的業務決策。
為確保人工智慧系統的安全性和合規性,企業應當對人工智慧技術的運用進行治理。有效的人工智慧治理將包括以下關鍵控制領域:
首先,網路安全產業的勞動力缺口正逐年擴大。在需求面,因新冠病毒疫情肆虐下,世界各國為此實施不同程度的防疫政策,保障人民生命健康。為因應經商環境的轉變,愈來愈多企業因此走向數位化轉型,包括將線下業務移至線上發展、安排員工遠距工作、把IT基礎設施遷移到雲端運算環境等,力求在激烈變化的環境下為企業獲取新的業務機會。但與此同時,企業在網路安全方面所暴露的攻擊面亦隨之增加。為此,企業需要採取措施加強網路安全防護水準,例如聘用網路安全專家或尋求安全託管服務來為企業部署安全解決方案,並對企業IT環境進行監控、評估和優化。
其次,在安全服務供應方面,有研究報告指出可以看到安全營運中心(SOC)在日常營運當中存在不少痛點,有73%的受訪者認為「不斷增加的工作量會導致工作上的倦怠」,有65%的受訪者表示「那些痛點令他們考慮辭去分析師崗位以謀求其他職位」,從長遠的角度來說,市場必將出現安全分析師供應短缺的情況。不少SOC的安全分析師長期面臨著大量枯燥的工作,例如長時間輪班、警報帶來的乏味、耗時的調查,因此,有部分經驗豐富的分析師願意轉向其他職務以減少工作壓力。此外,安全營運團隊每天都需要處理來自多個安全平臺的警報,其中包括不少虛假警報,這遠遠超出了團隊人員能夠負擔的處理速度。
最後,隨著網際網路應用的普及化,相對應網路威脅隨之上升,而且其複雜性也相對增加,為此對網路安全也帶來挑戰。如今,行動設備、物聯網、雲端運算在企業中的應用日益普及,攻擊面也相對增加。此外,駭客可以利用人工智慧來不斷變形病毒/惡意軟體,而傳統的靜態防禦解決方案未必能對此有效檢測以及阻斷。另一個原因是網路犯罪即服務(Cyberattack-as-a-Service)令網路攻擊變得普及,攻擊者自身不須擁有強大的駭客知識,亦可以透過支付加密貨幣獲得攻擊工具。
人工智慧如何改變安全營運
人工智慧在安全營運中的其中一大作用是協助安全分析師工作,畢竟,它不太可能完全取代有經驗的人類。反之,人工智慧可以專注於比人類擅長的領域去協助人類,如分析大數據,替人類進行繁瑣、重複的任務,以便分析師能夠發揮更複雜的技能,如創造力、細微差別和專業知識。
此外,透過人工智慧對安全事件進行分析,查詢大量資料並在整個網路中進行檢視,以蒐集事件的背景並進行調查,整理出優先順序高的事件讓分析師加以關注。同時,人工智慧透過分析人類分析師調查警報的過程,進行訓練以及機器學習,當未來有類似的事件發生時,機器可在通知分析師前生成多個查詢,並同時調查所有威脅。
透過以上對人工智慧影響安全營運的瞭解,我們可以預見人工智慧的出現將改變大多數IT和資訊安全行業人員的角色。有部分的行業人員對此有著極大的擔憂,例如擔心自己會被人工智慧控制的機器人取代。事實上,人工智慧工具能為資訊安全專業人員創造機會,使他們能夠更有效地履行工作職責,同時也可利用新的洞察發現來改善整個資訊安全計畫,並與SOC之外的其他團隊展開更多合作。
在一般的SOC工作中,安全分析師每天查看網路流量和來自不同系統的日誌,以確定安全事件是否構成需要進一步調查的威脅。而SOC傳統的分工上,一階(Tier-1)分析師負責查看警報,二階(Tier-2)分析師尋找可能的攻擊,三階(Tier-3)分析師執行事件回應,安全工程師則負責想出更好的方法來使基礎設施更加安全。
然而,當我們把人工智慧以及自動化應用在安全營運的場景後,人工智慧會代替分析師處理以往相對低階和繁雜的日常工作,如查看警告、分析、檢測等。因此,團隊必須調整每個職務角色以及職責,調整培訓計畫的重點,例如讓分析師建立與人工智慧系統合作的技能,建立良好的溝通技巧以便對企業的業務部門解釋安全問題。
人工智慧的使用為企業帶來挑戰和風險,但同時人工智慧也能有效解決勞動力短缺以及有效提升網路安全管理的效果和效率。企業為有效因應挑戰以及控制風險,應及早制定內部人工智慧安全要求的政策、標準和規範。